[ask]ARP Attack

[freeza]

gmn cara proteck ARP attack ya? ntah ini spyware or virus.. cuma kata beberapa temen saya, dia maennya di network dan deepfreeze pun bisa tembus.. di warnet saya ada 47 komputer, dan saran dari salah satu temen saya harus di format semua. ada saran dari yg lain kah??

[produkgagal2]

ARP Attack? Adrress Resolution Protocol kah yang di maksud??
kalo iya gw ada sedikit penjelasan, ARP attack atau biasa di sebut ARP poisoning adalah suatu serangan yang tidak bisa di cegah, hal ini karena adanya kelemahan pada protokol TCP/IP , kalau temen lo bilang deepfreeze pun bisa tembus, ya itu betul belum ada satu software pun yang bisa mencegah hal ini sampai sekarang(kamis 19 juni 2008 pukul 00:45) sasaran utamanya sih MAC address dari ethernet card(langsung mumet ya otaknya). untuk meminimalisir karena tidak bisa di cegah, ada cara tertentu yang di sarankan:

1. serangan macam ini jarang terjadi, cuma orang-orang dengan tingkat keisengan "relatif tinggi" aja yang suka bikin kaya gini. jadi kalo serangan macam ini terjadi, lihat aja log pengunjung lo, sapa aja yang suka buka situs security atau yang berhubungan dengan hacking(biasanya sih langganan lo, karena seseorang yang melakukan percobaan seperti ini harus melakukan pengamatan terlebih dahulu, tapi kalo yang udah sering melakukan hal semacam ini sih ga masalah mau langganan atau bukan .....^_^).

2. kalo server lo base in *nix, lo bisa pake ARPwatch untuk melihat perubahan dari MAC address yang ada di jaringan lo.

3. set statis ARP cache itu MAC address tiap-tiap komputer(kalo lo pegawai biasa di warnet, set statis MAC tiap tiap komputer bisa jadi alasan yang bagus untuk minta naik gaji, cape set statis MAC 47 komputer)

4. lo mesti curiga kalo misalnya ada 10 komputer yang aktif di warnet lo, tapi semua data yang masuk ke server lo berasal dari sebuah komputer.

5. kalo os server basis windows, pake aja Xarp, ntar ada warning kalo ada yang coba-coba melakukan arp poisoning.

6. coba terapkan VPN, gw pernah nyoba serangan semacam ini juga di warnet langganan gw, tapi gagal, ga tau apa karena VPN atau karena ada faktor lain(untuk jawaban yang ini gw ga yakin 100%....maaf ya).

kalo temen lo saranin format ulang, maksudnya apa dan kenapa??? karena ARP poisoning itu terjadi karena kelemahan protokol TCP/IP bukan karena itu virus atau spyware atau bahkan kelemahan sebuah operating system, itu murni 100% kelemahan protokol, ga ada gunanya format ulang komputer

[freeza]

ya betul, ARP yg di maksud emang itu Address Resolution Protocol.
makasi pencerahannya... kalo komputer infected harus diapain ya? jd misal, komp 1 yg kena, sementara ini komp 1 saya cabut kabel power nya.. dan walhasil, ga RTO (Request Time Out) lagi. Nah, komp 1 nya itu harus di apain ya? karena kalo komp 1 itu saya aktifkan, ga lama trus RTO lagi.

[produkgagal2]

masih soal ARP Attack? infected di sini maksdnya apa?? kalo yang di maksud infected akibat ARP attack, saya rasa ga mungkin karena ini kelemahan dari protokol jadi dengan kata lain sebenarnya semua komputer yang ada di warnet kamu atau bahkan kemungkinan komputer yang saya pake sekarang ini infected juga, soal RTO yang saya tangkap yaitu kamu anggap bahwa RTO ini di sebabkan karena ARP Attack itu sendiri, saya ga tau pasti bisa ya dan bisa juga tidak,diagnosa awal(we..dah kaya dokter ya saya.....) karena belum di teliti lebih lanjut, coba cek dulu kemungkinan lain selain ARP Attack, mungkin ada masalah dengan jaringan kamu?? maybe yess...maybe NO.......

[freeza]

nah itu dia, info yg saya trima adalah RTO nya di sebabkan karena ARP Attack.. sementara ini saya sudah download Xarp, cuma lagi ngulak ngalik serial numbernya blm dpt.. hehehe

[Siaunen2]

@produkgagal
Bisa dijelasin cr kerja arp attack?Mac addressnya di apain kok jadi rto? Jadi kira2 spt yg saya nangkep, misal komp terkena arp poisoning jadi bisa rakus bandwith, krn komp laen rto?

[produkgagal2]

untuk serial XArp2 nya ada di http://www.keygen.ms/*****/112800/

cara kerja ARP attack?? ok ini penjelasan singkat, nanti saya bikin satu thread lengkap ARP poisoning untuk para pemilik warnet, tapi ntar abis gw sidang...hehehe

kita mulai dari protokol TCP/IP dolo, ini gw kutip dari buku STH2 karangan S'to "Protokol TCP/IP di-design dengan tujuan utama agar komputer bisa saling berhubungan terus dengan jalur komunikasi yang ada namun tidak memperitungkan keamanan pada waktu itu. Untuk memahami serangan semacam ini, Anda harus memahami tentang bagaimana cara kerja protokol TCP/IP ini (nah..lo)".

MAC address...karena gw bingung gimana ngejelasin apa itu MAC address, maka secara singkat gw bilang MAC address adalah suatu nomer unik yang terdapat di setiap Ethernet Card.

sekarang konsep kerja:

di sini ada komputer SUMBER, TUJUAN, dan INTRUDER

komputer SUMBER misal memiliki alamat ip 192.168.0.1 dengan MAC 1111111111 komputer TUJUAN memiliki ip 192.168.0.2 dengan MAC 2222222222 dan komputer INTRUDER dengan ip 192.168.0.3 dengan MAC 33333333333

komputer SUMBER sebenarnya hanya ingin berhubungan dengan komputer TUJUAN, cara mereka berhubungan dengan memanggil MAC satu sama lain ilustrasinya seperti ini.

SUMBER:"saya komputer SUMBER ip 192.168.0.1 alamat MAC saya 1111111111, woi komputer yang memiliki IP 192.168.0.2 harap beritahu saya alamat MAC anda", nah proses pemanggilan di sini di sebut dengan broadcast ARP(address resolution protocol),kalo mau tahu isi ARP lo mesti baca tentang paket-paket data tingkat rendah, ok back to topic.

kenapa memanggil MAC bukan IP?? karena penggunaan switch, switch tidak bisa peduli dengan ip karena switch bekerja pada layer yang berbeda dengan ip, silahkan baca buku networking untuk paham lebih lanjut .

TUJUAN: komputer TUJUAN yang mendengar panggilan akan membalasa "OK, komputer SUMBER saya KOMPUTER tujuan alamat MAC saya 2222222222 (ARP Reply)", dan koneksi pun terjadi.

proses komputer umumnya terjadi seperti ini, tapi sayangnya proses pemanggilan(Broadcast ARP) yang di lakukan oleh komputer SUMBER tadi terdengar oleh komputer INTRUDER , komputer INTRUDER yang tidak di panggil pun ikut-ikutan ngejawab Broadcast ARP tadi(ARP reply...suka ikut nimbrung aja).

INTRUDER: pertama dia akan melakukan melakukan ARP Reply pada SUMBER, "Hai komputer SUMBER dengan Ip 192.168.0.1 dengan MAC 111111111 saya komputer TUJUAN kamu Ip saya 192.168.0.3 dengan MAC 333333333" <<<<< lihat MAC nya.
INTRUDER: kemudian dia melakukan hal yang sama dengan komputer tujuan, mengirimkan ARP Reply pada TUJUAN, "Hai komputer TUJAUN dengan Ip 192.168.0.1 dengan MAC 22222222 saya komputer SUMBER Ip saya 192.168.0.3 dengan MAC 333333333"

apa yang terjadi?? baik komputer sumber atau tujuan mengupdate alamat MAC masing-masing, jadi si SUMBER meng update alamat MAC si TUJUAN, begitu pula sebaliknya. dan proses pengupdatean ini lah yang di sebut ARP Poisoning, terus apa akibatnya?? semua pertukaran data yang terjadi antara SUMBER dan TUJUAN melewati INTRUDER, dan akibatnya...............walaaa, si INTRUDER asik saja membaca data yang lewat.

parahkah?? tergantung tanggapan kamu...parah ngak kalo e-mail lo di baca orang yang ga berkepentingan?? kalo kata gw sih parah....ARP Poisoning ini dah melanggar UU ITE pasal 31, baca...baca...baca. dah ya saya pulang dolo, ada testing kerjaan ntar pagi.

salam produkgagal2

[Siaunen2]

Ok tadi kira2 saya juga sudah baca artikel lainnya, dan saya sudah mengerti garis kasarnya. Krn proses kasarnya kek gitu, satu-satuna cara mengatasi berarti nyuruh adminnya baca log .... dan segera datengin begitu ada yg melakukan arp poisoning >.<'
Susah juga yah....

[produkgagal2]

engga harus baca log, baca aja perubahan MAC address nya

[freeza]

ok, makasi info nya.. sebentar saya merenung dulu sambil blajar pelan2 menggunakan Xarp

[Siaunen2]

hmm, berarti klo mac address di static in ngga bisa arp poisoning?
perasaan komp hum (dishare spt warnet) saya mac addressna dah static, ngga perna ganti. Gw pengen iseng2 gemana cara ganti mac addressna ya? Ato gemana cara staticin yg bener2 staticnya ya?
Soale klo nga salah dr router saya sudah di set static mac addressna untuk komp hum

[freeza]

hmm maap, ada tanya lagi..

1. XArp nya harus saya taro di tiap client or di master aja?
2. kalo saya baca di help nya.. mengenai cara bikin static nya rada kurang ngerti, mesti ada alert dolo baru di bikin static or gmn ya..?

maap, banyak tanya

[Siaunen2]

Ini ada contoh log

Code:

Friday June 20, 2008 12:23:28 Unallowed access from 00-1B-11-6E-70-AA
Friday June 20, 2008 12:23:28 Unallowed access from 00-02-6F-3C-26-EB
Friday June 20, 2008 12:23:28 Unallowed access from 00-13-F7-1B-D8-F2
Friday June 20, 2008 12:23:28 Unallowed access from 00-13-F7-1B-D8-F2
Friday June 20, 2008 12:23:28 Unallowed access from 00-1B-11-6E-70-AA
Friday June 20, 2008 12:23:28 Unallowed access from 00-02-6F-3C-26-EB
Friday June 20, 2008 12:23:28 Unallowed access from 00-13-F7-1B-D8-F2
Friday June 20, 2008 12:23:29 Unallowed access from 00-1B-11-6E-70-AA
Friday June 20, 2008 12:23:29 Unallowed access from 00-02-6F-49-D5-F5
Friday June 20, 2008 12:23:29 Unallowed access from 00-02-6F-3C-26-EB

Keknya gw kena arp attack kan? Soalnya dah gw statisin mac nya dan laennya gw block. Tapi krn router gw ke flood malah ngejam(makanya inet putus)

[freeza]

@siaunen2
itu contoh log menggunakan arpwatch?

[Siaunen2]

Ngga, itu log dari router saya